Chaos(Go言語ベースのマルウェア)は、Lumenの Black Lotus Labsによって最初に記録されたもので、従来はルーターとエッジデバイスを標的としてきました。2026年3月に観察された新しい亜種は、不正に設定されたLinuxクラウドサーバーに対してマルウェアが動作していることを示しており、これはボットネットが以前に優先していなかったインフラストラクチャのカテゴリです。
Darktrace のマルウェア研究チームは、CloudyPots プログラムを通じてこの侵害を記録しました。CloudyPots は、様々なサービスとクラウドプラットフォームに対する攻撃者の行動をキャプチャするために同社が運営するグローバルなハニーポットネットワークです。そのネットワーク内の 1 つのハニーポットは、Apache Hadoop(リモートコード実行を許可するように意図的に不正設定されたオープンソースの分散データ処理フレームワーク)を実行しており、攻撃者に足がかりを与え、研究者に更新されたマルウェアを見る権限を与えました。
攻撃がどのように展開されたか
侵入は、Hadoop デプロイメントのリソースマネージャーエンドポイントへの HTTP リクエストで始まりました。リクエストは新しいアプリケーションを定義し、一連のシェルコマンドを埋め込みました。これらのコマンドは、攻撃者が制御するサーバーから Chaos エージェントバイナリを取得し、権限を設定し、バイナリを実行してからディスクから削除しました。削除ステップにより、実行後の法医学的復旧が制限されます。
保護されていないエンドポイントに配信される初期感染 (出典: Darktrace)
バイナリは pan[.]tenire[.]com から提供されました。このドメインは以前、Operation Silk Lure にリンクされていました。これは、悪意のある求人応募の添付ファイルを通じて ValleyRAT リモートアクセストロイの木馬を配布した別のキャンペーンです。そのキャンペーンのステージ全体には広範な中国語の文字列も含まれていました。
マルウェアで何が変わったか
新しいサンプルは、x86-64 Linux 用にコンパイルされた 64 ビット ELF バイナリです。これは、コンシューマー ルーターで一般的な ARM、MIPS、PowerPC アーキテクチャをターゲットとしていた以前の Chaos 亜種からの逸脱を示しています。内部名前空間は再構成され、SSH ブルートフォース スプレッダーや、Chaos が進化したと考えられている Kaiji ボットネットから以前継承された特定の脆弱性悪用ルーチンなど、いくつかの関数が書き直されたり削除されたりしました。
コア機能セットはそのままです。マルウェアは systemd を使用した永続性を確立し、キープアライブスクリプトをディスクに保存します。DDoS 攻撃機能は存在し、HTTP、TLS、TCP、UDP、WebSocket プロトコルをサポートしています。
「マルウェアの新しい機能は SOCKS プロキシです。マルウェアがコマンドアンドコントロール (C2) サーバーから StartProxy コマンドを受け取ると、攻撃者が制御する TCP ポートでリッスンを開始し、SOCKS5 プロキシとして動作します。これにより、攻撃者はコンプロマイズされたサーバーを経由してトラフィックをルーティングし、それをプロキシとして使用できます。この機能にはいくつかの利点があります。脅威行為者が被害者のインターネット接続から攻撃を開始でき、活動が攻撃者ではなく被害者から発信されているように見せかけることができます。また、攻撃者がコンプロマイズされたサーバーからのみアクセス可能な内部ネットワークにピボットできます。」と Darktrace のマルウェア研究エンジニア Nathaniel Bill は 説明しています。
コマンドアンドコントロール サーバーは、埋め込まれたドメイン gmserver[.]osfc[.]org[.]cn を通じて到達され、分析時点ではこのドメインは香港に地理的に位置する IP アドレスに解決されていました。
プロキシ機能はボットネット経済の転換を示唆しています
Darktrace の研究によると、別の DDoS ボットネットである Aisuru は、以前、プロキシアクセスを他の脅威行為者に売却するためにピボットしているのが観察されていました。Chaos で同等の機能を追加したことは、ボットネット オペレーターがプロキシ サービスをDDoS 対応に並ぶ収入源として扱っており、これらのネットワークがサポートできる犯罪活動の範囲を拡大していることを示唆しています。
プロキシ機能の追加により、クラウド ワークロードを実行している組織のリスク プロファイルが変わります。プロキシボットネットに登録されたコンプロマイズされたサーバーは、レート制限をバイパスしたり、資格情報詰め込みまたは偵察キャンペーン中に攻撃者の起点をマスクしたり、感染したホストとネットワーク信頼関係を共有する環境内での横方向の移動を有効にしたりするために使用できます。
クラウドの不正設定の問題
攻撃に成功したのは、ターゲット サービスが到達可能であり、不適切に保護されていたためです。Hadoop のリソース マネージャーは、認証制御なしでインターネットに公開されている場合、誰でもアプリケーションを送信し、クラスター ノードでコードを実行できます。これは既知の構成リスクであり、クラウド環境に日常的にデプロイされる他の管理インターフェイスおよび管理サービスにパターンが一般化されます。
Darktrace の分析は、マルウェア バイナリ内の中国語の文字列と zh-CN ロケール インジケーターに基づいて、Chaos への疑わしい中国での起源を特定しており、マルウェアを文書化した元の Lumen の研究と一致する特性です。配信サーバーと ValleyRAT の配布キャンペーン間のインフラストラクチャ接続は、その評価に状況的な重みを加えていますが、決定的な帰属は依然として困難です。
ウェビナー: セキュリティの真の状況 2026
翻訳元: https://www.helpnetsecurity.com/2026/04/08/chaos-malware-cloud-misconfigured-servers/
